Cyber Shelf

// Comparaison

Incident Response and Computer Forensics vs The Practice of Network Security Monitoring : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52014
Incident Response and Computer Forensics

Jason T. Luttgens, Matthew Pepe, Kevin Mandia

Le playbook de travail de Luttgens, Pepe et Mandia pour mener un engagement IR d'entreprise : préparation pré-engagement, acquisition de preuves, forensique réseau et host, et la discipline de gestion de projet qui sépare une réponse contrôlée d'une panique.

Intermédiaire
5/52013
The Practice of Network Security Monitoring

Understanding Incident Detection and Response

Richard Bejtlich

Le playbook NSM de Richard Bejtlich : comment déployer les sensors de collecte, valider que vous voyez réellement ce que vous pensez voir, et construire des workflows de détection autour d'outils open-source.

À lire si

Incident responders junior à senior, leads SOC et CISO qui ont besoin de la référence cross-discipline canonique sur ce à quoi ressemble un vrai programme IR de bout en bout. Le plus fort comme primer structurel — le modèle de maturité implicite dans le livre est encore la baseline de fait du champ.
Tout analyste SOC et détection engineer. Le texte fondateur de Bejtlich sur le NSM : collect-everything, alert-on-narrow, investigate-broadly. Définit le vocabulaire que le champ détection moderne utilise encore.

À éviter si

Lecteurs voulant le tradecraft actuel sur la réponse aux attaques d'identité (AAD, abus OAuth, golden SAML), l'IR cloud spécifiquement, ou la traque moderne pilotée EDR ; le livre est largement on-prem 2014. À coupler avec des ressources cloud-IR spécifiques (blog Mandiant, runbooks AWS / Azure incident response) pour la couche manquante.
Lecteurs voulant les spécificités de tooling SIEM actuel. Le livre précède l'EDR-par-défaut et la télémétrie cloud-native moderne ; les principes se transfèrent, les spécificités tooling non.

Points clés

  • La préparation est l'engagement : la majeure partie de ce qui détermine l'issue d'une IR est décidée avant que l'appel n'arrive.
  • La discipline acquérir-puis-analyser tient encore ; couper ce coin est ce qui produit les rétrospectives à mauvais titre.
  • Les chapitres gestion de projet du livre sont la moitié sous-estimée — la plupart des réponses ratées sont des échecs de management, pas techniques.
  • La détection sans prévention est un choix stratégique, pas un repli ; Bejtlich a été des années en avance pour défendre cela et le livre reste l'argumentation la plus claire.
  • Les quatre types de données (full content, session, transactional, statistical) sont encore le bon framework pour penser la couverture détection.
  • La plupart des échecs SOC sont organisationnels et procéduraux, pas tooling ; les chapitres du livre sur workflows, runbooks et croissance d'analyste sont encore les meilleurs en imprimé.

Comment ils se comparent

Nous notons The Practice of Network Security Monitoring plus haut (5/5 contre 4/5 pour Incident Response and Computer Forensics). Pour la plupart des lecteurs, The Practice of Network Security Monitoring est le choix principal et Incident Response and Computer Forensics un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Incident Response and Computer Forensics et The Practice of Network Security Monitoring couvrent tous les deux Defensive : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Incident Response and Computer Forensics

Alternatives à Incident Response and Computer ForensicsQue lire après Incident Response and Computer Forensics

The Practice of Network Security Monitoring

Alternatives à The Practice of Network Security MonitoringQue lire après The Practice of Network Security Monitoring

Thématiques liées

Defensive